ChatGPT : quelles sont les utilisations possibles par les hackers et les ecrocs

Les cybercriminels qui utiliseront ChatGPT pourront produire le texte de leurs attaques de phishing plus rapidement et automatiser l’opération pour créer des malwares simples. La technologie ne permet pas pour encore de créer de nouveaux malwares sophistiqués. Dans son état d’avancement actuel, elle ne perturbera pas le paysage des menaces autrement que par l’intensification de la fréquence des attaques. Les modèles du type de ChatGPT ne sont rien de plus que des « perroquets stochastiques », du nom des modèles linguistiques (Language Models) qui procèdent par ingestion d’énormes volumes de données et sont capables, effectivement, de produire de nombreux textes. Mais les e-mails de phishing cherchent rarement à tromper par la teneur du texte, ils privilégient bien davantage les attributs visibles de l’e-mail, pour faire croire, par exemple, à une alerte de la banque concernant une transaction, ce qui est hors de portée de ChatGPT. Et si ChatGPT sera certainement très utile pour générer des textes de scam en nombre et en plusieurs langues, rien ne dit que la technologie produira des textes de meilleure qualité ou plus convaincants. Le fait de produire plus de textes peut constituer un danger pour de possibles victimes car les mécanismes anti-phishing utilisent eux aussi des modèles linguistiques pour détecter les intentions malveillantes dans des textes. À terme, les mécanismes anti-phishing apprendront sûrement à détecter les e-mails produits par ChatGPT, et ainsi de suite, selon les lois d’évolution des technologies.

Voici d’autres utilisations possibles de ChatGPT par des hackers et des escrocs (scammers) :
1. Analyse du code source à la recherche de failles (ex. injections SQL, débordement de tampon) : rien de nouveau, ChatGPT aide juste des hackers inexpérimentés à gagner du temps.
2. Programmation d’exploits : les tests montrent que les résultats ne sont pas toujours probants.
3. Automatisation de code : des débutants pourront automatiser des commandes plus rapidement (ex. « générer un script de dumping de mots de passe pour se connecter à twitter »)
4. Codage de malware : pratique en partie proscrite, mais l’écriture de simples macros demeure possible. ChatGPT n’apporte rien de plus que ce que propose déjà Google. Le grand public y aura simplement accès plus facilement
5. Ingénierie sociale par chatbots : ce peut effectivement être un plus pour les tentatives d’escroquerie et de fraude 419, les scams de compromission d’e-mails pro (BEC), de romance ou d’approche sur LinkedIn, qui supposent un minimum d’interactions. Ces conversations pourront désormais être automatisées et paraître réalistes avec moins de 1% d’intervention humaine, ce qui facilitera des déploiements à très grande échelle.

Quelle est la probabilité de ces attaques et à quelle fréquence ?

Des équipes de la Red Team signalent déjà des tentatives de phishing avec des e-mails générés par ChatGPT. Des forums underground font également état de la création d’un programme de vol de mot de passe (password stealer) en langage Python avec ChatGPT. Parallèlement, OpenAI actualise et perfectionne constamment ChatGPT pour éviter que la technologie puisse être utilisée pour nuire, dans le monde réel comme virtuel.

Comment les entreprises et les particuliers vont-ils pouvoir se défendre et lutter contre ces escroqueries ? Quels sont les signes à repérer ?

ChatGPT s’appuie sur des textes existants sans pour autant générer de « meilleurs » textes. Pour détecter les e-mails possiblement malveillants, il suffit de repérer les signes habituels d’un scam, comme une demande pressante, une urgence inattendue. Certains mots clés sont fréquemment utilisés dans les e-mails de phishing pour induire un sentiment d’urgence et d’importance, ex. urgent, virement bancaire, immédiatement, mot de passe. Et si ChatGPT ne peut pas produire comme par magie un e-mail qui semble provenir de votre banque, les scammers continuent d’employer les bonnes vieilles méthodes, à savoir l’utilisation d’adresses e-mail et de noms de domaine qui ressemblent à s’y méprendre aux vrais. Les en-têtes des e-mails ou les URL, comme SPF, DKIM, DMARC, peuvent indiquer d’où et de quel serveur l’e-mail provient et de quels noms de domaines. Ainsi, même si le texte de l’e-mail est ultra réaliste, il est facile de vérifier si l’e-mail provient d’un compte légitime ou de type fake@hacker.com.

Dans quels cas une IA comme ChatGPT pourrait servir à tromper ou pirater des utilisateurs lambdas ? Et que faire dans ces cas-là ?

ChatGPT n’est pas une technologie qui sert à « pirater des gens » : c’est un modèle qui génère du texte. Dans certains cas, les conversations sembleront crédibles, mais un humain saura très facilement s’il échange avec un autre être humain ou une machine, il suffit pour cela de taper des requêtes qui n’ont aucun sens : un être humain réagira en conséquence alors que ChatGPT traitera la commande et cherchera à y répondre. Comme ChatGPT rend ces fonctionnalités plus généralement accessibles, les pratiques de cybercriminalité seront à la portée de tous sans qu’il faille de compétences techniques. À noter, toutefois, que rien ne change pour les attaques persistantes avancées APT (Advanced Persistent Threat) et d’autres, qui ont recours à l’automatisation depuis des années. Nous avons détecté des tentatives de création d’emails de phishing convaincants, surtout de compromission d’e-mails professionnels, mais sans connexion à Internet pour le moment or, pour personnaliser les e-mails, les hackers doivent utiliser LinkedIn, etc. Les modèles d’IA comme ChatGPT permettent de produire davantage de variations pour éviter l’étape de signature, en facilitant la modification des textes à la volée. Le texte peut aussi être produit dans de multiples langues, pour une meilleure couverture locale dans la langue usuelle (ex. l’allemand).